https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

從e化到M化打造安全的行動辦公室 信義房屋要效率、更要安全

2005 / 10 / 05
王婉伶
從e化到M化打造安全的行動辦公室  信義房屋要效率、更要安全

「每39分鐘為2戶人家找到幸福!」這句熟悉的廣告詞,說明著信義房屋有完善的資訊整合及分享機制。1989年,當信義房屋只擁有8家分店的時候,便全面建構電腦化環境;1992~1996年間推動各項作業電腦化。1997~1998年間,信義房屋完成Internet環境及導入辦公室自動化軟體,提高工作及服務效率;1999~2000年間,信義房屋成立e化專案小組,全面導入ADSL寬頻網路,提升網路通訊基礎環境。2001年,信義房屋開始為第一線經紀同仁配置Notebook,建立e-agent團隊,提供顧客更完整快速的e化服務。2002年信義房屋考量M化的可能性,並開始積極的推展。


宣告進入M化的時代

2002年信義房屋開始宣告進行M化,其主要歸因於其行業的特點,因為公司同仁大部份都在外為客戶服務,在早期為客戶進行服務的同時,必須隨身攜帶許多的文件資料,也無法讓位於第一線的服務同仁快速即時的取得最新的資訊。


信義房屋資訊部執行協理陳麗心表示,因為信義房屋的所有服務據點都是以直營連鎖的方式經營,基於此項優勢,公司的所有的資源可以進行整合並分享。而位居第一線的業務同仁也能即時的取得最新的資訊內容。然而在未實行M化之前,第一線的服務同仁經常性的必須在外為客戶提供服務,所以攜帶大量的文件報表資料常造成許多不便,也無法專業且即時的為客戶服務,同時因為資訊更新迅速,同仁常需要花費很多作業時間來整理及列印文件報表資料。


基於此,公司便開始思考M化的可能性,信義房屋認為M化是政府推展的重點,同時也是未來趨勢,且信義房屋的e化架構建置非常完整,相信要建置M化環境應非難事。

公司在推行M化的過程中,不僅注意到科技的變化及趨勢,且蒐集第一線同仁的意見回饋,經由不斷的提案及在決策會議上的進行互動與討論,最後成為公司的重要的年度事策,然後拓展。且因為是公司重要的年度事策,自然得到高層主管的大力支持,且為提供客戶優質服務是信義房屋長期以來的信念,因此信義企業集團從1989年即開始進行電腦化,資訊設備採購金額在整個集團資本支出中排名僅次於購買土地及店面,平均在15%~20%之間。


M化剛建置完成時,信義房屋並未大力的要求所有的同仁都必須配有行動裝置,完全尊重同仁自己的選擇。有意願使用的同仁,可自行購買PDA等行動裝置,公司則提供系統供同仁使用。

後來,因為同仁的反應良好,認為這樣不僅可以提供客戶最新最好的服務,也能大量的減少業務同仁整理影印文件報表的作業時間。陳麗心說道,在2002年下半年完成系統建置後,2003、2004年公司以系統提供者的角度來進行推廣,並蒐集使用同仁的意見回饋,不斷的改善其系統缺失,進而使用行動裝置的普及率高達50%以上。也由於這二年來的推動成效不錯,同仁接受度提高許多,因此於2005年開始,決定推展到公司全體。


M化面臨的挑戰

信義房屋在進行M化時,面臨的挑戰可分為二方面來談,一是安全性,另一是非安全性。從非安全性來看,陳麗心表示,在推動的時候,必須花費許多時間和同仁進行溝通,讓同仁清楚的知道,這項措施能提昇同仁的工作效率及對客戶的服務品質。同時不斷蒐集同仁的意見,不論是在系統功能的改善或是開發新需求,因為使用者為數眾多,因此資訊部門在開發系統上還必須顧慮到使用者的意見。

另外,因為公司並未規定員工所持有的PDA裝置型號,但因型號及使用者的習慣不同,而當大量的業務單位同仁配備有PDA時,而其操作上的問題及教育訓練等,成為資訊部門重要待解決的議題。所以在這方面,資訊部門以線上教育訓練來補強,如影音線上教學或線上PDA教學等。

陳麗心補充,推廣整個M化的措施,其實是一項相當大的工程,除了完善的線上教育訓練外,還必須實地到第一線去推動,業務單位人員的流動率其實是非常高的,所以在教育訓練上得持續不斷的推動,有鑑於此,公司也特別規定同仁升遷的同時,必須完成必要的教育訓練課程,方可獲得晉升。

在安全性方面,因為業務單位經常性必須在外奔波,因此行動裝置難免有遺失的顧慮,且因業務單位人員的流動率偏高,所以當人員離職或裝置遺失時,其行動裝置內的資料,必須不能再被使用。資訊部門在開發設計的同時,將這層的安全性考量進來。

因此,資訊部門便規定當業務人員在使用行動裝置系統時,必須每5天與公司的伺服器進行同步,若使用者未進行此動作,則無法使用。這裏所謂的同步,即指使用者從遠端(透過Wi-Fi或GPRS等方式)連接到公司的Server下載資料。此作法一方面是希望同仁能養成定時和公司Server進行同步的習慣,並提昇使用率;另一方面則是避免裝置的遺失或同仁離職後,下載至PDA的機密資料遭到不當使用。除了每5天必須與Server進行同步的措施外,所有下載至PDA的資料都有進行加密的保護措施,因此不論是裝置遺失或是同仁離職都可確保裝置內機密資料的安全。


M化的資訊安全建置

為了讓第一線同仁能在分店即可使用行動裝置,信義房屋將所有的分店改成無線網路的環境,希望同仁在門市隨時可下載更新資料,並即時提供客戶最新資訊的服務。但因為一般而言,對於無線環境的安全性還是有疑慮存在,因此信義房屋在硬體的建置規劃上,格外慎重。例如在AP的選擇上採用較安全的配備,如AP可隨時動態的發放不同憑證與行動裝置做認證,以防止有心人利用無線溢波的方式來侵入。

除了AP等級的選擇上特別嚴謹外,同仁在門市無線上網時,AP會發出一動態憑證連同裝置上所安裝的軟體憑證一同送回至資訊部門的Server進行認證,確認是合法使用者,方能連線。但若要至公司內部的網路存取資料,則必須要再透過另一組的帳號密碼的個人身份認證及硬體的序號雙重認證方可取得資料。陳麗心補充,信義房屋在導入M化時,因其安全性比較複雜而所要考量的面向非常多,所以在導入的過程中針對安全這個面向進行多方的研究及整體性的考量。

陳麗心表示,現在許多的企業推行M化,但卻很少考量到無線上網前端連線的安全性,而信義房屋覺得在無線網路環境中其安全性極為重要,所以剛開始在規劃無線環境安全時,也詢問過許多的廠商,其實廠商都明白可以用發放憑證的方式來做為有效的安全控管,但一直都未有很完善的解決方式。所以在建置無線網路環境時,信義房屋在安全性這方面花費許多的時間在測試及尋找適合的方式。而現在所使用的方式也是透過不停的測試,方確定沒有問題。陳麗心說,當安全性的問題解決後,在推動上便順利許多。

在M化之後,除了強化無線網路環境的安全外,在安全政策上也要求使用者必須簽訂切結書,主要是要讓使用者必須注意的安全事項及尊重所使用軟體的版權問題等。


聆聽使用者的回饋

在推動的過程中,使用者的意見回饋是很重要的,不只是資訊部門重視,高層主管也常會詢問使用者的反應,關心整個推動的過程。而資訊部門在推動的過程中,大部份透過問卷的調查來獲知使用者的滿意度或對工作效率是否有提昇等訊息。陳麗心說道,其實在推動的過程中,不需要害怕去聽使用者的聲音,因為使用者的意見通常是最真實的也是最寶貴的,因此這樣的雙向互動是非常重要的。

除了透過問卷調查表達意見外,平時也能透過各單位的會議進行意見表達,再將意見匯整回饋到總公司來。而關於使用者的滿意度調查,大概會在增加新功能或是一段時間後想要了解使用者的使用狀況的情形下進行,平均會每一季做一次問卷調查。


e化的資訊安全建置

信義房屋在進行e化的時候,便和一般企業一樣,除了建置有完善的硬體防護措施,如防火牆、郵件及網頁過濾機制、自動派送防毒軟體、安全性修正程式等安全措施外,另外在內部資訊安全政策的制定上,也規定同仁在到職時,必須簽定與資訊安全規定相關的同意書。在同仁登入使用系統時,每10天便會跳出一提醒視窗,提醒使用者要遵守的注意事項,若使用者確定同意方能使用此系統。

以上都是在提醒使用者公司非常重視這些安全政策,使用者應該也要非常的重視,因此透過一些系統的設計來不斷的提醒使用者注意。另外,也明確制定出公司的規章制度,載明如果使用者違反公司規定將會受到行政懲處等。最後,包含使用者的帳號密碼、憑證授權及整個公司網路環境都是走VPN的架構等都在e化時便規劃好的。

在進行e化之初,信義房屋便決定內部的網路環境以VPN架構為主,而所有的外點分店也是利用ADSL固接方式直接連線到IDC機房,再由機房以專線的方式連接到信義房屋的總部,而這中間完全是走VPN的環境。且所有分店同仁若要進入Internet必須透過總公司的Server,經過層層的過濾及控管方可連結。

平時,資訊部門的系統管理人員會自己撰寫程式用來每天監測所有的系統作業、自動程式派送作業、防火牆等是否有異常,每天將其記錄在表單中。另外,還會自行撰寫程式來監控系統流量是否有異常情形發生,若有,則會發出email通知相關的所有人員。


重視核心資產的保護

公司對於其下的核心資產的保護不遺餘力,其中除了客戶的基本資料之外,還包含交易資料及行情資料,只要是關於人及物件(即指房屋)對信義房屋而言都是很重要的資訊,例如海砂屋、輻射屋,其至是兇宅等特殊的資訊的蒐集都是信義房屋很重要的核心資產。而這些資訊都經由分類及管理分別儲存在資料庫中,而在存取資料庫時,則做好權限的控管。陳麗心認為,資安問題有時除了使用者端之外,也有可能來自資訊部門本身,所以就連掌管全公司資訊安全的資訊部門也有嚴格的權限的畫分。

而資料庫也會視資料的重要性來考量是否加密,有的資料庫全部都進行加密來確保其安全性,而有些可能僅針對特定欄位進行加密。早期會與使用單位進行會議討論來決定那些為重要資訊,而現在資訊部門在設計資料庫時,即會將各欄位的重要性予以分類,且若判定此資料庫是重要的,則任何人存取此資料庫的動作都會被紀錄下來,確保資料庫的使用安全。


備援及災難演練計劃的執行

前幾年發生的大火,讓信義房屋更加確認了備份資料及災難復原演練的重要性。信義房屋是採用資料異地備援的機制,主要是透過磁帶來備份。每天都會備齊異動的資料,每月則會將所有的資料及系統環境完整備份起來,對於備份的作業是被要求要落實。

然而除了將所有的資料及系統設定備份之外,還必須要熟悉每個復原的步驟。陳麗心表示,早在2000年的時候,便因千禧年的來到,被要求必須做好所有的因應措施及演練。因此火災發生之後也能快速的回復所有的系統及資料。目前每季會做局部相關的資料回復的作業演練;每半年會做一次大規模的完整復原機制演練。陳麗心說道,很多人都會覺得做這些演練是沒有必要,但是只要養成習慣了就不會覺得是不必要的,而且當你曾經經歷過意外後,便會更確切的了解到復原演練機制的重要性。


網頁服務的安全架構

提供完善網頁服務機制,一直也是信義房屋重要的服務之一,因此對於其安全性也同樣重視。在網站上,只要牽涉到客戶資訊,便會以SSL的加密方式傳輸。另外針對網站上重要的資料進行加密,當要存取時,再透過系統機制將其解密,而資料庫本身又有一定的安全機制,形成二層的安全防護。

網頁服務屬外部網站,信義房屋選擇將其主機放置在IDC機房,與公司內部的網路做實體隔離,而機房與總公司之間利用VPN架構的專線來負責傳輸。當客戶透過外部網站要存取公司內部資料時,會利用web Service及AD的認證機制,來進行雙方機器的認證,再透過專線的傳輸傳回資料。

本身外部網站也設置有防火牆,而IDC機房同時也會設置有一些安全的防護措施,原本IDC機房是沒有提供這樣的服務,然而因為資訊安全日漸受到重視,而IDC機房也日漸的重視這塊的服務,因此只要有擺放其中的主機有異常情形發生,IDC機房便會主動通知。


結論

從e化到M化,信義房屋一路走來,始終相信要提供優質的服務給客戶,企業e化,能讓資訊快速即時的流通。而M化卻能提昇業務同仁的工作效率,且能迅速將最新資訊送至客戶面前。除了優質的服務外,博取客戶的信賴也是重要的一環,安全環境的建置便不可輕忽。